wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

コインチェックのインシデント対応報告を読み解く

久々に(技術的にも実務的にも)良い意味で考えさせられる対応報告書を読んだ。 コインチェックの対応報告書がそれ。 読み解いてみたけど、存外に大変なことに(主にオレが書いた文の分量が)…。 コインチェックからリリースされたたインシデント対応報告 読…

みんなVPN死ね症候群にかかってないか?

極端なテレワーク推奨期間に入ってはや数ヶ月(?)、VPNについて「クラウドベースに移行するのを視野に入れて」とかなんとかいろいろと出てるけど、別にVPNが悪いわけじゃないぞ。使うVPNの種類と使い所を間違っているだけだ。 ということで、本日はざっく…

CVE-2020-10136~IP-in-IPに脆弱性…

久しぶりに個人的なツボにはまる脆弱性が… CVE-2020-10136の脆弱性概要 詳しくは以下のJVNの記事を見てください。要は「IP over IPを実現する規格の1つで、悪用される脆弱性があるからね」というもの。 jvn.jp この脆弱性を悪用すると、何ができるのか? 脆…

テレワーク関係で「即座に」留意しなきゃいけないこと

さんざん書くだけ書いて、すっかり忘れてたw テレワーク関係で「即座に」留意しなきゃいけないことその1~リモート操作ツールのファイル共有機能 例えばWindowsのリモートデスクトップを使う場合、ローカルのドライブをRDP経由でアクセスさせることが可能で…

テレワークはいいかもしれないが、導入を決めるまでが結構大変かも…(制度、技術、セキュリティをどう考える?)

書いたら長くなった…けど、何らかの議論のネタなりになればということで、とりあえず放流する。 「テレワーク」というと、なかなか魅惑なパワーワードだが、ちょっとアタマを巡らせると、かなり大変であることがわかる。 大変といっても、実は文章の読み替え…

「Zoom」のその後

IPAから続報が出ていたので、ちょっと見てみました。 www.ipa.go.jpそこには、「どうやったら警告が出てくるのか?」の解説がありました。 なんだ、インストールした後に「買う」とすると、あの警告が出てくるのね。ということで、またまた検証してみました…

これはZoomだけどZoomじゃない!(意味不明)

みんな大好き&私も大好きなZoomですが、最近偽物が増えてるという噂を聞きます。 japanese.engadget.com で、我らがにゃん☆たく先生も検証されている。 ただ、にゃん☆たく先生の検証範囲は、「これは僕が使いたいリモート会議のZoomじゃない!」という結論…

Windows ExplorerはInternet Explorerとは違う(キリ)

またも新たな脆弱性…。 「Type 1 Font Parsing Remote Code Execution Vulnerability」ですか… この脆弱性は、 Adobe Type Manager Libraryに存在しており、悪意ある細工がなされたファイルが置かれたフォルダをExplorerで開くと、コードが実行される「かも…

Windows ServerとSMB ServerとWindows ClientとSMB Clientと(あーまぎらわし!)

月刊マイクロソフトで修正されたCVE2020-0796のWorkaroundに関連した情報が、油断するとわからなくなる書き方になっている*1ので、覚書。記事自体は後述するが、別にこの記事が悪いというわけではなく、用語自体をきちんと押さえておかないと、一気に混乱す…

テレワークが止まらないので(何)、オンライン会議システムを3つくらい立て続けに使ってみた

私の勤務先もご多分にもれず、原則テレワーク状態に。 そんな中、この短期間に3種類のオンライン会議システムを使うことになったので、個人的な所管ではあるけど書き留めてみようかなと思う。 Zoom今やオンライン会議サービスの代表的な選択肢になっている感…

VBAマクロについての覚書

VBAでネットワーク使う時に、いろいろと制約事項が出て来やしないか?というので調べてた。 結論は以下のとおり HTTPリクエスト系は、VBAマクロで普通に書ける WinSockを用いたネットワークアプリケーションは、どこでも動くものを書くのは困難(MSWINSCK.OC…

ファイルレスマルウエアは「ファイルは作らない」が、何も作らないわけではない

標的型攻撃に「ファイルレスマルウエア」が使われるようになって久しいが、標的型攻撃を仕掛けるモチベーション(きっかけ/やる気の源)は一体何か?を考えてみよう。 仕掛ける相手の持ってる情報が欲しい できれば長い期間、情報を継続的に獲得したい でも…

ファイルレスマルウエアは「確かに」ファイルは作らない

「ファイルレス=ファイルを作らない」という話はまぁ間違いではないけど、そこから「痕跡を残さない」と飛ぶのは少し行き過ぎ。 www.nikkei.com 「本当に」痕跡が残らないと、そもそもどこからも何も検知できないが、実際には検知できているし、そのための…

フォレンジック関係ツールの検証やってみた(少しだけ)

思うところあって、TSURUGI Linuxを使ってみた TSURUGI Linuxは、デジタルフォレンジック向けのLinuxディストリビューション。 デジタルフォレンジックに使えるLinuxディストリビューションには、例えばKali LinuxやSANS SIFT Workstationなどがあるが、今回…

GPD Pocketを使ってみての所感(その他編)

わりとどうでもいいようなよくないような点をまとめてみた。 性能は意外に悪くない。WinSATの結果は、メインで使ってるマシンの1台であるThinkPad Helix(1st Gen、Core i5 3rd Gen)よりちょっと悪いくらい(気が向いたら結果載せます) 筐体の加工精度はも…

GPD Pocketを使ってみての所感(お値段編)

オレの場合は、約400ドル程度の出資でGPD Pocketを入手できたわけですが、出せるのはいくらまでか?と言われると、この使い勝手ならば、たぶん6万円が限度だと思います(500ドルはまぁアリ。600ドルとか言われると、"No, thank you"となりそう)。

GPD Pocketを使ってみての所感(電源まわり編)

まとめると、「ハイバネーション設定必須」だけど、個人の責任でよろしくという感じで。 ハイバネーションを有効にすると、問答無用でストレージ上の8GBの領域を食うので、これを惜しいと思う人は有効にしないほうがいい(けど、スリープでバッテリごんごん…

GPD Pocketを使ってみての所感(操作性編)

まとめると、画面はまだしもキーボードは長時間作業にはつらい風。なので、長時間これで作業することを想定するならば(特に作文やプログラミング)、外付けキーボードは必要と判断してたりします(あくまで個人の感想ですw)。 本体だけだと、インタラクシ…

GPD Pocketを使ってみての所感(サイズ編)

わりかしありがちな所感だとは思うけど、以下のような感じで。 7インチUMPCということで、本当に小さい。ユニクロのビンテージチノの後ろポケットには入る(入れないけど) ACアダプタのインタフェースはUSB-C、ケーブルもUSB-C - USB-Cということで、USBで…

GPD Pocketを使ってみての所感(総評)

GPD Pocketを数日使って出した結論は以下のとおり。 少し手のかかるじゃじゃ馬マシン まったく手を入れずに吊るしのまま使うのはなかなか厳しいです。が、「小さい」ことはやっぱり大きな価値なわけで、手のかかる部分も楽しんで使える人だったらよいもので…

GPD Pocketが届きました。

実は、Indiegogo経由して、GPD Pocketに出資しており、つい先日到着したばかりです。 この数日使ってみて感じたことは以下のような風。

追記:マネジメント側で出来る最大の対処

「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」の後にも考えるべきことが2つあった。 それは、「深刻な脆弱性を保有するシステムに対する『システム停止を含む緊急対応』の事前策定と関係者間の合意」と「策定したプロセスが機能す…

結び:現場の営みをうまく拾ってエスカレーションを行えるしくみの構築と運用が必要

脆弱性は、「早期発見&即対処」を行えればベストだが、これはシステムの規模や影響を考えるとかなりの無理筋とも感じる。 となると、脆弱性マネジメントの見地では「早期発見」「適切な評価」「迅速な対処」をいかにスムーズに行うか?がカギになる。早期発…

再発防止は「再発防止策が機能したら、発生したインシデントは発生しなかったか」がカギ

これは私見だが、再発防止策を考えるときには、考えた策を適用することで「発生したインシデントが発生しなかったか」の検証が必須と考える。 そして、「今やってること」「今やってないこと」「やるべきこと」「今やるべきこと」「今後やるべきこと」の層別…

再発防止には「入手した脆弱性情報の適切な評価」をプロセスに含めることも対策に含めるべきではないか

脆弱性情報は、早期に入手すればするほど「危険性の評価」が難しくなる傾向にある。これは、公開情報などを契機に「早期に」入手できた情報には「PoCなどが伴わない」ことが多いからだ。この場合、おおざっぱには当該情報をもとに「対処する」「PoCなどの公…

再発防止策が偏ってるなぁ…と感じるのはオレだけか?

再発防止はどれも「まぁそうだね」と思えるものが並んでるけど、「2 情報セキュリティマネジメントに関する防止策」中、「(3)ア 脆弱性情報の早期入手」と「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」だけでいいのか?という…

「全社的リスク管理の課題」は本当に真の課題か?

現場に寄り添うべき立場の者として、この課題(の記述)は少し腹立たしい。 報告書中、以下のような記述がある。 本件事故の原因とも言える「大規模の脆弱性発覚」のリスクは、本来、看過できない重大なリスクであったと考えられるものであるが、経営管理の…

よくわからない点:脱Struts宣言を出したものの、リスク含みの既存システムへの対応が不十分なあたり

新規開発でStrutsを使わない宣言を出したのは評価出来るけど、既存システムへの対応がない(ように見える)のが不可解。 報告書では「既存のStruts 2使用システムの再構築には至らなかった」とあるが、これは正直「システム運用の現場」を理解していない(理…

ヤバさを認識するまでが遅いのがBad

ヤバさを知覚してから対応に入るまでの速度が高速なのはいいのだけど、脆弱性が公開された時刻からGMO-PG側で脆弱性情報を確認し、ヤバさを知覚するまでの時刻に開きがありすぎというのがヤバい。簡単に脆弱性公開からGMO-PGさん対応までの話を図に起こして…

ヤバい事象の認識から対応に移るまでの時間の短さはGood

3/9 18:00にヤバさを認識し、同日21:56にWAFによるブロックを開始したのはGood。